Le secteur maritime La marétique Les risques Actualités Liens A propos Services Contact EN

Contenu

Ingérence étrangère sur un ferry à Sète : entre RAT, Raspberry Pi et emballement médiatique

 inclus dans  Actualites
   1276 mots   6 minutes 

L’affaire du ferry Fantastic (de l’armateur italien Grandi Navi Veloci, GNV) à Sète, en décembre 2025, est intéressante à plus d’un titre. Non pas tant pour sa sophistication technique — qui reste limitée — que pour ce qu’elle révèle de notre manière de traiter les incidents cyber, en particulier dans le maritime.

Très rapidement, l’événement a été présenté comme un cas potentiellement grave d’ingérence étrangère, voire comme un scénario de prise de contrôle à distance d’un navire. La réalité, telle qu’elle se dessine progressivement à partir des éléments publics, est plus nuancée — et probablement plus instructive.

Une chronologie marquée par l’incertitude

Les premières publications du 16 décembre 2025 évoquent la découverte d’un “boîtier espion” ou d’un “RAT” (sans précision) à bord du ferry. CNEWS ou encore Euronews utilisent rapidement un vocabulaire très affirmatif, parfois spéculatif, évoquant la possibilité de “diriger le navire à distance”.

Dans le même temps, les autorités françaises, par la voix du ministre de l’Intérieur, orientent très tôt la communication vers une piste d’ingérence étrangère. Laurent Nuñez qualifie l’incident d’“extrêmement sérieux” et évoque explicitement la possibilité d’une intervention extérieure, précisant que “un pays est souvent derrière ce type d’ingérence”, sans le nommer, mais dans un contexte où la référence implicite à la Russie est difficile à ignorer.

Cette orientation intervient alors même que les éléments techniques publics disponibles sont encore très limités.

T for “Tool” or T for “Trojan” ?

Un point clé, mal explicité dans les premières publications, concerne le terme “RAT”.

Certaines sources, y compris dans des reprises sur les réseaux sociaux comme LinkedIn, utilisent le terme sans distinction. Or, RAT peut désigner :

  • Remote Access Tool (outil, physique ou logiciel, d’administration ou d’accès distant) qui d’ailleurs peut être parfaitement légitime, ou pas ;
  • Remote Access Trojan (code malveillant).

Ce glissement sémantique a un effet immédiat : un trojan est un code malveillant assez “classique” dans le secteur maritime comme ailleurs, mais il est très bien traité par des antivirus ou EDR. Il est souvent transmis “à distance” par le biais de courriels de phishing, plus rarement physiquement (par exemple par une clé USB). Donc une forte probabilité de malveillance externe sans contact physique local. Mais si c’est un “tool”, alors on peut basculer sur des dispositifs physiques plus “originaux” en termes de détection (on en voit moins), mais qui surtout, s’il s’agit d’un dispositif physique, nécessite un accès physique à bord et, donc, une malveillance interne.

Les publications ultérieures, notamment reprises par Le Monde Informatique ou CSO Online, décrivent pourtant quelque chose de beaucoup plus simple : un dispositif de type Raspberry Pi, associé à un modem cellulaire, permettant un accès distant au “réseau interne” du navire.

Ce que l’on sait… et surtout ce que l’on ne sait pas

Les éléments les plus récents et précis convergent donc vers la présence de ce boîtier informatique clandestin, physiquement installé à bord.

En revanche, un point reste déterminant mais guère résolu publiquement : à quoi ce dispositif était-il réellement connecté ?

Les sources évoquent un accès à “un réseau” du bord, mais sans précision claire :

  • réseau bureautique ?
  • segment technique intermédiaire ?
  • ou système plus critique ?

Cette incertitude est essentielle. Elle conditionne entièrement le niveau de risque réel.

L’hypothèse de l’ingérence est dominante… mais pas la seule

En l’absence d’élément public complémentaire, et en raison de la communication du Ministère français de l’intérieur, l’accent est mis très tôt sur une possible ingérence étrangère (d’où l’attribution de l’enquête à la DGSI). Mon rôle est aussi de nuancer, en attendant plus d’éléments (si on en a un jour).

D’autres scénarios restent en effet crédibles, voire plus cohérents avec les modes opératoires connus, et méritent d’être (pour nous, public), examinés :

  • cybercriminalité opportuniste,
  • préparation d’accès pour des opérations futures (prépositionnement, rebond vers l’armateur),
  • ou lien indirect avec des activités criminelles (trafic, logistique).

Le contexte opérationnel du navire, opérant notamment en Méditerranée et vers l’Afrique du Nord, n’exclut pas ce type d’hypothèses.

Des précédents existent. Dans les ports d’Anvers et de Rotterdam, des affaires documentées ont montré l’utilisation de moyens très simples (clé USB infectée, accès interne, voire keyloggers physiques) pour compromettre des systèmes portuaires dans un contexte de trafic de drogue.

Voir par exemple :

Un scénario technique bien moins spectaculaire, mais moins vendeur

Contrairement à certaines affirmations médiatiques, aucun élément public ne permet aujourd’hui à un quelconque risque ou capacité avérée de prise de contrôle à distance du navire. Aucune source publique ne confirme un accès aux systèmes de navigation ou de propulsion.

Plusieurs articles prennent d’ailleurs explicitement leurs distances avec ce scénario, notamment Le Parisien, auquel j’ai eu le plaisir de participer (pour équilibrer le discours, et qui évoque un risque “proche de zéro”. En effet, prendre en main le navire à distance, et le contrôler, nécessiterait d’avoir préalablement désactivé tous les mécanismes physiques et logiques de sécurité à bord, sans compter l’intelligence et le savoir-faire des marins à bord, et des procédures et organisations existantes.

À l’inverse, certains titres relèvent davantage de la projection que de l’analyse, comme CNEWS ou encore https://www.lagazettedemontpellier.fr/justice/2026-01-08-a-sete-un-espion-russe-dans-le-ferry/

Une réalité plus simple : accès physique et contrôle insuffisant

Le point le plus solide de cette affaire reste le vecteur d’introduction.

Un équipement de ce type suppose :

  • un accès physique au navire (ce qui est le cas, deux membres d’équipages ayant été inquiétés puis l’un, relâché),
  • la possibilité de connecter un dispositif au réseau,
  • et l’absence de détection immédiate (bien que l’on ne sache pas précisément le temps réel entre la détection et la réaction).

Cela renvoie directement à des questions de menace interne (trop souvent peu prise en compte, notamment dans un contexte de nationalités multiples à bord) et de sécurité physique.

Ce type de dispositif n’est, pour autant, ni sophistiqué ni indétectable. S’il est connecté au réseau, il peut être identifié via :

  • la détection d’un équipement inconnu,
  • l’analyse du trafic,
  • ou une supervision réseau active.

C’est d’ailleurs probablement la mise en œuvre de ce type de dispositif de surveillance qui a permis sa détection (ou alors, une très bonne réaction d’un autre marin attentif).

Comme le rappellent Le Monde Informatique et CSO Online, ce type d’incident est avant tout un rappel de l’importance de la sécurité physique des systèmes.

Conclusion

Ce qui frappe dans cette affaire, ce n’est pas la sophistication de l’attaque, mais l’écart entre les faits techniques et leur interprétation.

Entre un Rasberry Pi introduit physiquement à bord puis connecté à un réseau et l’idée d’un navire piloté à distance, il existe un fossé considérable. Pourtant, ce fossé est rapidement comblé dans le débat public, souvent avant même que les éléments techniques ne soient établis. Et alors-même que l’enquête se poursuit. Laissons le temps aux experts de trancher, et acceptons de ne pas nécessairement avoir un retour “public” de l’enquête.

L’incident de Sète rappelle donc quatre choses essentielles :

  1. la menace interne et l’intégrité physique des systèmes restent des enjeux centraux, parfois plus déterminants que les attaques distantes complexes, peut-être moins fréquents, mais malheureusement de plus en plus oubliés au profit de la menace externe.
  2. D’autre part, la capacité à qualifier correctement un incident cyber — sans surinterprétation, mais sans minimisation — demeure un défi collectif, surtout en ces temps troublés.
  3. Sachons nous réjouir de la coopération internationale, et notamment européenne, en termes de cybersécurité : elle a encore montré son efficacité.
  4. Sachons aussi nous réjouir que ce type d’équipement ait, probablement promptement, été détecté, les enquêteurs mobilisés, le navire investigué puis reparti : une belle chaîne d’efficacité, là-aussi, dans un contexte opérationnel pas facile (rappelons-le, le navire mesure 188 mètres !)

Et dans ce domaine, la précision technique reste la meilleure protection contre les récits trop rapides.

Mis à jour le 24/12/2025
 MaritimeFerryRATOT
Retour | Accueil